一種名為VanHelsing的新型多平臺勒索軟件即服務（RaaS）操作已經出現，其目標包括Windows、Linux、BSD、ARM和ESXi系統。

VanHelsing于3月7日首次在地下網絡犯罪平臺上推廣，為有經驗的合作伙伴提供免費加入的機會，而經驗不足的威脅行為者則需要繳納5000美元的保證金。

這一新型勒索軟件操作由CYFIRMA在上周晚些時候首次記錄，而Check Point Research則在昨天發布了更深入的分析報告。

VanHelsing的內部運作

Check Point的分析師報告稱，VanHelsing是一個俄羅斯網絡犯罪項目，禁止針對獨聯體（CIS）國家的系統。

合作伙伴可以保留80%的贖金，而運營商則抽取20%。付款通過一個自動托管系統處理，該系統使用兩次區塊鏈確認以確保安全。

VanHelsing邀請合作伙伴加入的廣告來源：Check Point

被接受的合作伙伴可以訪問一個具有完全操作自動化的面板，同時還能獲得開發團隊的直接支持。

從受害者網絡中竊取的文件直接存儲在VanHelsing操作的服務器上，而核心團隊聲稱他們定期進行滲透測試，以確保頂級的安全性和系統可靠性。

目前，VanHelsing在暗網上的勒索門戶列出了三名受害者，其中兩名在美國，一名在法國。其中一名受害者是德克薩斯州的一個城市，另外兩家是科技公司。

VanHelsing的勒索頁面來源：BleepingComputer

勒索軟件運營商威脅稱，如果他們的財務要求得不到滿足，將在未來幾天內泄露竊取的文件。根據Check Point的調查，贖金要求為50萬美元。

VanHelsing的勒索信來源：Check Point

隱身模式

VanHelsing勒索軟件是用C++編寫的，有證據表明它于3月16日首次在野外部署。

VanHelsing使用ChaCha20算法進行文件加密，為每個文件生成一個32字節（256位）的對稱密鑰和一個12字節的隨機數。

然后，這些值使用嵌入的Curve25519公鑰進行加密，生成的加密密鑰/隨機數對存儲在加密文件中。

VanHelsing對大于1GB的文件進行部分加密，但對較小的文件則運行完整的加密過程。

該惡意軟件支持豐富的命令行界面（CLI）定制，以便根據受害者定制攻擊，例如針對特定驅動器和文件夾、限制加密范圍、通過SMB傳播、跳過影子副本刪除以及啟用兩階段隱身模式。

在正常加密模式下，VanHelsing枚舉文件和文件夾，加密文件內容，并將生成的文件重命名為附加“.vanhelsing”擴展名的文件。

在隱身模式下，勒索軟件將加密與文件重命名分離，這不太可能觸發警報，因為文件I/O模式模仿了正常的系統行為。

隱身加密功能來源：Check Point

即使安全工具在重命名階段開始時做出反應，在第二次通過時，整個目標數據集已經被加密。

盡管VanHelsing看起來先進且發展迅速，但Check Point注意到一些揭示代碼不成熟的缺陷。

這些缺陷包括文件擴展名不匹配、排除列表邏輯中的錯誤可能觸發雙重加密過程，以及幾個未實現的命令行標志。

盡管存在錯誤，VanHelsing仍然是一個令人擔憂的新興威脅，或許很快就會開始獲得關注。